Amazon Linux 2023：python3-urllib3 (ALAS2023-2026-1418)

high Nessus 插件 ID 298125

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1418 公告中提及的多个漏洞影响。

urllib3 是适用于 Python 的用户友好 HTTP 客户端库。自版本 1.24 至低于 2.6.0的版本中解压缩链中的链接数量不受限制可让恶意服务器插入几乎无限的压缩步骤进而导致为解压缩的数据分配高 CPU 使用率和大量内存。此漏洞已在 2.6.0 中修复。(CVE-2025-66418)

urllib3 是适用于 Python 的用户友好 HTTP 客户端库。自版本 1.0 至低于 2.6.0的版本中Streaming API 未正确处理高度压缩的数据。 urllib3 的流 API 设计用于通过读取区块中的内容而不是将整个响应正文一次加载到内存中来有效地处理大型 HTTP 响应。当流式传输压缩响应时urllib3 可能基于 HTTP 内容编码标头例如 gzip、deflate、br 或 zstd执行解码或解压缩。
该库必须从网络读取压缩的数据并将其解压缩直到满足请求的区块大小为止。任何超出请求数量的结果解压缩数据都将保留在内部缓冲区中，以供下一次读取操作使用。这些解压缩逻辑可导致 urllib3 在单个操作中完全解码少量高度压缩的数据。这可导致过多资源消耗解压缩的数据高 CPU 使用率和大量内存分配。(CVE-2025-66471]

urllib3 是一个适用于 Python 的 HTTP 客户端库。 urllib3 的流 API 设计用于通过读取区块中的内容而不是将整个响应正文一次加载到内存中来有效地处理大型 HTTP 响应。 urllib3 可能会根据 HTTP “Content-Encoding”标头（例如“gzip”、“deflate”、“br”或“zstd”）执行解码或解压缩。使用流 API 时该库仅解压缩必要的字节从而启用部分内容。从版本 1.22 到低于的版本 2.6.3开始对于 HTTP 重定向响应库会读取整个响应正文以耗尽连接并解压缩不必要的内容。此解压缩甚至在调用任何读取方法之前就发生，而且配置的读取限制未限制解压缩的数据量。因此，不存在针对泄压炸弹的防范措施。恶意的服务器可利用此漏洞在客户端上触发过度资源消耗。通过在不禁用重定向的情况下设置“preload_content=False”应用程序和库在来自不受信任来源的流内容时会受到影响。用户应升级到至少 urllib3 v2.6.3其在“preload_content=False”时库不会解码重定向响应的内容。如果无法立即升级，请通过针对不受信任来源的请求设置“redirect=False”来禁用重定向。 (CVE-2026-21441)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。